區塊鏈治理大翻車!背靠 Tether 的歐洲加密新星遭「內鬼式」突襲,揭開去中心化金融最脆弱的「安全盲點」
備受市場關注、且於 2024 年底獲得全球最大穩定幣發行商 Tether 戰略投資的歐洲合規穩定幣發行商 StablR,證實遭到嚴重黑客攻擊。根據區塊鏈安全公司 Blockaid 的即時監測數據顯示,該起漏洞利用(Exploit)事件已導致 StablR 旗下錨定歐元的穩定幣(EURR)與錨定美元的穩定幣(USDR)雙雙發生嚴重的脫鉤(Depeg)現象。黑客在此次事件中惡意鑄造了價值約 1,040 萬美元的代幣,並在去中心化交易所(DEX)因流動性匱乏進行「骨折價」拋售,最終成功捲走 1,115 枚以太幣(ETH),折合損失高達 280 萬美元。
本起事件再度將加密貨幣市場的焦點引向「私鑰安全(Private Key Security)」與「多重簽名錢包(Multisig Wallet)」的治理漏洞,這也是繼今年 5 月份以來,DeFi 領域發生的第十餘起重大安全黑客攻擊。
什麼是穩定幣脫鉤?5分鐘看懂 StablR 崩盤的專業術語
在深入分析這起資安慘劇之前,我們必須先白話理解兩個關鍵的金融專有名詞:
- 穩定幣(Stablecoin): 一種旨在維持穩定價值的加密貨幣,通常以 1:1 的比例錨定法定貨幣(如美元或歐元)。StablR 的核心賣點即是發行受監管、有足夠抵押品支持的法幣穩定幣,並宣稱其儲備資產存放於獨立的隔離賬戶中。
- 脫鉤(Depeg): 指穩定幣失去了原本承諾與法幣 1:1 價值的狀態。當市場對該穩定幣失去信心、或儲備金遭到質疑時,其價格就會跌破 1 元(或歐元),引發市場恐慌拋售。
1-of-3 的多簽悲劇:黑客是如何「合法」搬走 1,000 萬美元的?
這次 StablR 遭殃,問題不是出在智能合約代碼寫錯了(Smart Contract Bug),而是標準的「管理與治理大翻車」。
根據 Blockaid 的鏈上行為分析,StablR 用於「鑄造(Minting)」穩定幣的核心多重簽名錢包,竟然採用了極低安全門檻的 「1-of-3(三選一)」驗證機制。這意味著,雖然該多簽錢包由三位持有人共同管理,但只要其中任意一個人的私鑰外洩,該行使人就能獨自對整條區塊鏈發號施令。
黑客的攻擊路徑堪稱是一場教科書式的「權限篡改」:
- 竊取私鑰: 黑客透過釣魚或供應鏈攻擊,成功掌握了三位多簽持有人其中一人的私鑰。
- 篡改權限: 利用這把私鑰,黑客直接簽署交易,將自己「添加」為錢包的新所有人,並順手將原本的其他兩位老實的管理員直接「踢出」該合規合約。
- 憑空套白狼: 奪得絕對控制權後,黑客啟動了印鈔機,憑空鑄造了 835 萬枚 USDR 和 450 萬枚 EURR。
「骨折價」拋售引發雪崩:兩大穩定幣重傷數據一覽
黑客印出了總價值高達 1,040 萬美元的 StablR 穩定幣,但如何把這些「空氣」變現成了關鍵。由於 StablR 屬於較新興的穩定幣,在去中心化交易所(DEX)上的流動性深度(Liquidity Depth)非常薄弱。
當黑客將這上百萬的代幣砸進交易池時,引發了強烈的「滑價(Slippage)」,最終這價值千萬美元的代幣,居然只換到了 1,115 枚 ETH(約 280 萬美元)。黑客雖然少賺了,但卻給市場留下了滿地雞毛:
- 歐元穩定幣 EURR: 原本市值約 1,400 萬美元,事件發生後暴跌 23%,從原本錨定的 1.15 美元匯率一路慘跌至 88 美分。
- 美元穩定幣 USDR: 原本市值約 1,100 萬美元,同樣遭到血洗,在週日早晨重挫 30% 跌至 70 美分。
StablR 官方隨後在社交平台 X 上發文坦承遭遇攻擊,表示「已識別出漏洞,正積極圍堵並努力降低影響」,然而具體資產墊付與債務重組計畫截至目前仍未出爐。
2026 DeFi 黑客地獄:密鑰管理已成加密貨幣最大死穴
StablR 的慘劇並非個案。根據 DeFiLlama 的最新數據監測,光是 2026 年 5 月份,加密貨幣市場就已經歷了十幾起重大黑客攻擊。
區塊鏈資安專家指出,過去黑客喜歡尋找智能合約代碼的邏輯漏洞(Bug),但現在黑客發現,「直接偷私鑰或管理員權限(Admin Key)」的速度更快、投資報酬率更高。 以下為近兩個月內同樣因為「密鑰妥協/管理不當」而慘遭毒手的知名 DeFi 協議名單:
- Volo Vault(私鑰外洩遭到資金洗劫)
- Wasabi Perps(衍生品協議管理密鑰遭竊)
- Echo Protocol / Echo Bridge(跨鏈權限遭控制)
- Polymarket(預測市場平台部分合約密鑰遭侵害)
另外,身為比特幣跨鏈橋的 Map Protocol 則在 5 月 21 日因合約漏洞,被黑客惡意鑄造了「一千兆(Quadrillion)」枚 MAPO 代幣,同樣震驚市場。
這說明了一件事:在去中心化金融的世界裡,最大的安全隱患往往不是代碼,而是掌握代碼控制權的那條「人手」。
關於 StablR 穩定幣脫鉤事件的常見問題(FAQ)
Q1:這次 StablR 穩定幣遭到黑客攻擊,是因為區塊鏈本身的漏洞嗎?
答:不是。 這次資安事件並非智能合約代碼有 Bug,也不是以太坊等底層區塊鏈被攻破,而是屬於「金鑰管理與治理失敗」。黑客透過竊取發行商多簽錢包中其中一個人的「私鑰」,從而取得了發行穩定幣的最高權限,屬於典型的操作資安漏洞。
Q2:為什麼黑客鑄造了價值 1,040 萬美元的代幣,最後只拿走 280 萬美元?
答:因為市場流動性匱乏。 當黑客試圖在去中心化交易所(DEX)將高達千萬美元的 EURR 和 USDR 兌換成以太幣(ETH)時,由於當時交易池內沒有足夠的資金承接如此龐大的賣壓,導致嚴重的「滑價(Slippage)」,黑客等於是以極差的「骨折價」進行恐慌拋售。
Q3:Tether 曾經戰略投資過 StablR,這會波及到 USDT 嗎?
答:不會。 Tether 確實於 2024 年 12 月對 StablR 進行了股權戰略投資,目的是佈局歐洲 MiCA 法規下的法幣穩定幣市場。但 StablR 的儲備資產、發行合約與 Tether 的 USDT 是完全獨立且隔離運行的。USDT 的儲備與結構未受此事件影響。
Q4:作為普通投資人,要如何避免買到這種會脫鉤的穩定幣?
答:進行 DeFi 投資或持有穩定幣時,建議採取三大策略:
- 檢查多簽治理機制: 盡量選擇採用 3-of-5(五選三)或更高門檻多簽機制的項目,避免 1-of-3 這種一人淪陷全盤皆輸的協議。
- 觀察流動性深度: 選擇市值大、在主流中心化交易所(如 Binance)與大型 DEX(如 Uniswap)有極深流動性的穩定幣(如 USDT, USDC)。
- 追蹤實時鏈上審計: 關注如 Chainlink Proof of Reserves(準備金證明)等能即時公開透明確認儲備金與發行量比例的項目。
